Bekijk de video

x

Wat betekent de AVG wet voor jou?

Alles wat je binnen de AVG-wet geregeld moet hebben, is onder te verdelen in vier hoofdgebieden. Hieronder staan een paar voorbeelden.

Juridisch

Je bent verplicht om zaken juridisch vast te leggen. Van geheimhoudingsverklaringen, een officiële privacy policy tot aan contracten met je drukkerij en IT-partner.

ICT

Zijn software- en virusscanners altijd up-to-date? Zijn er veilige back-ups om de persoonsgegevens te beschermen tegen verlies of ransomware? En is jouw cloud-oplossing wel Europees? Dit en meer moet goed op orde zijn.

Organisatie procedures

Heb je een procedure omtrent de gegevens van ex-leden? Ligt er vast wie waar toegang toe heeft? En weet je wat moet doen als er een usb-stick met persoonsgegevens kwijt is?

Opleiding

Alle medewerkers moeten geïnformeerd c.q. opgeleid worden omtrent de wetgeving. Wat mogen zij wel en wat niet? Maar bovenal ook: wie wordt hier verantwoordelijk voor en zorgt dat het ook bij nieuwe medewerkers gewaarborgd wordt.

Zoals je ziet moet er aardig wat geregeld worden. Met het AVG-Programma breng en houd je zorgeloos en blijvend je AVG op orde. Wil je alle details weten?

Het AVG-Programma

Veelgestelde vragen

Voor wie geldt de AVG wet?

De Europese privacywet geldt al vanaf 25 mei 2018 voor alle organisaties die persoonsgegevens verwerken. Dat is dus bijna elke organisatie.
Denk aan:

  • - Bedrijven, groot
  • - Bedrijven, MKB (midden/klein)
  • - ZZP’ers
  • - (Sport)verenigingen
  • - Zorginstanties en -professionals
  • - Verenigingen van eigenaren
  • - Stichtingen

De wet geldt voor álle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen. Vrijwel alle ondernemers hebben te maken met dit soort privacygevoelige informatie, zoals het bijhouden van afspraken met klanten, telefoonnummers van klanten, emailadressen of personeelsinformatie. De wet maakt geen onderscheid tussen grote of kleine organisaties. 

Kortom, iedereen moet aan deze wet voldoen. En omdat er actieve controle is van AP (Autoriteit Persoonsgegevens) is het slim om te zorgen dat je er aan voldoet.

Hoe weet ik of ik ook aan de AVG-regels moet voldoen?

Dat moet iedereen. Als je persoonsgegevens in je bezit hebt, zoals naam, adres, emailadressen van bijvoorbeeld klanten, personeel, leden, cliënten, etc. Als je dat soort gegevens opslaat, moet je aan de AVG-wet voldoen. Immers, de Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken, ongeacht of ze klein of groot zijn, nationaal of internationaal, privaat of publiek. Ook al doe je er weinig mee, dan moet je dat wel opschrijven. De wet verplicht je om aan te tonen hoe je met persoonsgegevens omgaat.

Ik sla (bijna) geen persoonsgegevens op. Moet ik dan toch aan de wet voldoen?

Ja. De wet maakt geen onderscheid tussen grote en kleine organisaties of veel en weinig gegevens. Bijna elke organisatie in Nederland verwerkt persoonsgegevens, bijvoorbeeld in een klantenbestand, een ledenbestand, de personeelsadministratie, een CRM-systeem of bij gebruik van cameratoezicht. In alle gevallen moet je vastleggen wat je doet (of juist niet doet) om aan de AVG-regels te voldoen.

Wat gebeurt er als ik niet aan de AVG-regels voldoe?

De Autoriteit Persoonsgegevens (AP) controleert actief of organisaties zich aan de AVG houden. Dat doen ze na klachten (circa 25.000 per jaar) of via steekproeven of na datalekken (circa 24.00 per jaar). Zij kunnen ook boetes uitdelen. Boetes kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet als je je niet houdt aan deze privacywetgeving. De AP heeft meerdere boetes opgelegd voor uiteenlopende overtredingen. Enkele recente voorbeelden zijn € 475.000 voor Booking.com, € 12.000 voor een orthodontiepraktijk, € 525.000 voor een loyaltyplatform en € 15.000 voor een onderhoudsbedrijf. Opvallend is dat de laatste tijd meer kleine(re) organisaties worden gecontroleerd en beboet. Zorg dat je je AVG op orde hebt, zodat het jou niet overkomt.

Wat gebeurt er als ik AVG-proof ben en de wet verandert?

Aan de AVG-wetgeving voldoen is een continu proces. Wij informeren en begeleiden je. Zodra er iets wijzigt, zullen wij het je vertellen. Je moet zelf ook regelmatig checken of alles in je AVG-Programma nog up-to-date is. Heb je nieuwe leveranciers of medewerkers? Sla je extra gegevens op? Kloppen je back-ups nog? AVG-proof blijven kan alleen als je regelmatig checkt of je alles nog op orde hebt. Klaar zijn met AVG bestaat dus sowieso niet.

Waar staat AVG voor?

AVG is de afkorting voor Algemene Verordening Gegevensbescherming. De AVG is een Europese wet die per 25 mei 2018 geldt en gaat om bescherming van persoonsgegevens. Sinds de invoering geldt in de hele Europese Unie (EU) dezelfde privacywetgeving. In het Engels wordt deze wet afgekort als GDPR (General Data Protection Regulation). 

 

Alle organisaties moeten voor de AVG-wet kunnen aantonen dat ze de omgang met persoonsgegevens goed hebben geregeld. De wet eist een inspanning; je moet kunnen aantonen dat je er alles aan hebt gedaan om de privacy te waarborgen. In de praktijk betekent dat onder andere ICT-systemen op orde hebben, beveiliging van computers en telefoons, contracten sluiten met derden over uitwisseling van gegevens en/of vastleggen wie in de organisatie de persoonlijke gegevens mag inzien en behandelen.

Wat zijn persoonsgegevens eigenlijk?

De Autoriteit Persoonsgegevens definieert persoonsgegevens als “alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG.”

 

Er zijn verschillende soorten persoonsgegevens. De meest voor de hand liggende persoonsgegevens zijn iemands naam, adres en woonplaats. Ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens zoals iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd. Het is verboden om bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering is.

Wat is een datalek?

Als er ergens gegevens terechtkomen die daar niet mogen zijn, spreek je van een datalek. Denk bijvoorbeeld aan een verloren memorystick, een niet-beveiligde salarisadministratie met bankrekeningnummers van medewerkers, een mail met gevoelige informatie aan iemand anders dan de bedoelde persoon, een document dat persoonsgegevens bevat in een tas die je in de trein hebt laten staan, een verloren (kopie) paspoort/rijbewijs van een klant. Kortom alles waarbij gegevens van personen betrokken zijn.

In de AVG is geen exacte definitie van een datalek opgenomen. Wel wordt er gesproken over ‘inbreuk op de beveiliging van persoonsgegevens’. Denk bijvoorbeeld aan vernietiging, verlies, wijziging of het delen van persoonsgegevens zonder dat dat de bedoeling was. De Autoriteit Persoonsgegevens (AP) omschrijft een datalek als:

  • - Onbedoelde openbaring van of toegang tot persoonsgegevens; of
  • - Vernietiging, wijziging, verlies of vrijkomen van persoonsgegevens.

Bij een datalek zijn persoonsgegevens niet beschermd geweest, mogelijk verloren gegaan of onrechtmatig verwerkt. Het gaat dus niet alleen om het ‘lekken’ van gegevens, maar ook andere onbedoelde onrechtmatige verwerkingen.

Wat is een Data Privacy Impact Assessment (DPIA)? En wanneer moet ik die doen?

Een Data Privacy Impact Assessment (DPIA) is een verplicht instrument dat we eigenlijk alleen tegenkomen bij hele grote organisaties. Dus niet relevant voor 99% van de bedrijven en organisaties.

Als je wél een DPIA moet doen dan ga je vooraf de privacy-risico’s van bepaalde gegevensverwerking in kaart brengen, om deze risico’s vervolgens te verkleinen door aanpassingen te doen. 

De AVG geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • - Systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  • - Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  • - Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De eerste stap van ons programma gratis doorlopen? Dat kan!

Gratis de eerste stap proberen? Klik op de knop hieronder en ga direct aan de slag.

Start gratis